Вы подозреваете, что кто-то пытается проникнуть в вашу учетную запись на компьютере Windows? Вот как настроить систему отслеживания попыток входа в систему
Windows позволяет создавать несколько учетных записей пользователей, чтобы несколько пользователей могли использовать один компьютер. Но что делать, если вы подозреваете, что кто-то получил доступ к вашему компьютеру или учетной записи пользователя без вашего ведома?
Хотя физическое наблюдение за компьютером постоянно для большинства людей не представляется возможным, встроенная утилита просмотра журналов Windows, Event Viewer, может показать недавние действия на вашем компьютере, включая попытки входа в систему. Здесь мы покажем вам, как проводить аудит неудачных и успешных попыток входа в систему Windows с помощью Event Viewer и других методов
Как включить аудит входа в систему с помощью редактора групповой политики
Вам необходимо включить аудит входа в систему в редакторе групповой политики, чтобы иметь возможность просматривать аудит входа в систему в Event Viewer. Хотя эта функция может быть включена по умолчанию на некоторых компьютерах, вы также можете включить аудит входа вручную, выполнив следующие шаги
Обратите внимание, что редактор групповой политики доступен только в редакциях Pro, Edu и Enterprise операционной системы Windows. Если вы используете домашнюю версию, следуйте нашему руководству, чтобы включить gpedit в домашней версии Windows
Обратите внимание, что если вы не настроите групповую политику на аудит входа, вы сможете просматривать успешные попытки входа только в Event Viewer
После включения редактора групповой политики выполните следующие шаги, чтобы включить аудит входа:
- Нажмите Win + R, чтобы открыть команду ‘Выполнить’.
- Введите gpedit.msc и нажмите OK, чтобы открыть редактор групповой политики.
- Далее перейдите в следующее место:
Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy - В правой панели щелкните правой кнопкой мыши на Audit logon events и выберите Properties.
- В диалоговом окне Свойства выберите опции Успех и Неудача в разделе Аудит этих попыток.
- Нажмите Применить и OK, чтобы сохранить изменения.
Закройте редактор групповой политики и перейдите к следующему набору шагов для просмотра попыток входа в систему в Event Viewer
Как просмотреть неудачные и успешные попытки входа в систему в Event Viewer
Средство просмотра событий позволяет просматривать журналы Windows для приложений, безопасности, системы и других событий. Хотя это полезное приложение для устранения неполадок в системе, вы можете использовать его для аудита событий входа в систему на вашем ПК с Windows
Выполните следующие действия, чтобы просмотреть неудачные и успешные попытки входа в систему Windows:
- Нажмите клавишу Win и введите event viewer. В качестве альтернативы нажмите на Поиск на панели задач и введите Event Viewer.
- Нажмите на Event Viewer в результатах поиска, чтобы открыть его.
- В левой панели разверните раздел Журналы Windows.
- Далее выберите Безопасность.
- В правой панели найдите запись Event 4624. Это идентификатор события входа пользователя в систему, и вы можете найти несколько экземпляров этого идентификатора в журнале событий.
- Чтобы найти неудачные попытки входа, найдите запись Event ID 2625.
- Далее выберите запись Event 4624, которую вы хотите просмотреть, и Event Viewer отобразит всю связанную с ней информацию в нижнем разделе. Кроме того, щелкните правой кнопкой мыши на записи события и выберите Свойства, чтобы просмотреть подробную информацию в новом окне.
Как расшифровать записи входа в систему в Event Viewer
Хотя Event ID 4624 связан с событиями входа в систему, вы, скорее всего, обнаружите в журнале несколько случаев этой записи, происходящих каждые несколько минут. Это связано с тем, что Event Viewer регистрирует каждое событие входа в систему (будь то от локальной учетной записи пользователя или системных служб, таких как Windows Security) с одним и тем же идентификатором события (Event 4624)
Чтобы определить источник входа, щелкните правой кнопкой мыши на записи события и выберите Свойства. На вкладке Общие прокрутите вниз и найдите раздел Информация о входе. Здесь в поле Logon Type указывается тип входа в систему, который произошел
Например, Logon Type 5 указывает на вход на основе службы, а Logon Type 2 – на вход на основе пользователя. Более подробная информация о различных типах входа приведена в таблице ниже
Далее прокрутите вниз до раздела ‘Новый вход’ и найдите идентификатор безопасности. Это покажет учетную запись пользователя, которая была затронута входом в систему
Аналогично, для неудачных попыток входа в систему просмотрите Event ID 4625. В диалоговом окне Свойства можно найти причины неудачной попытки входа и затронутую учетную запись пользователя. Если вы обнаружили несколько случаев неудачных попыток, подумайте о том, как ограничить количество неудачных попыток входа в систему, чтобы защитить свой компьютер Windows
Ниже приведен список всех девяти типов входа для событий входа в систему, с которыми вы можете столкнуться, просматривая события входа в систему в Event Viewer:
| Тип входа | Описание |
| Тип входа 2 | Локальный пользователь вошел в систему на этом компьютере |
| Тип входа 3 | Пользователь вошел на этот компьютер из сети. |
| Тип входа 4 | Пакетный тип входа в систему без вмешательства пользователя – запланированные задачи и т.д. |
| Тип входа 5 | Вход в систему с помощью системной службы, запущенной диспетчером управления службами – Наиболее распространенный тип |
| Тип входа 7 | Система разблокирована пользователем локальной учетной записи |
| Тип входа 8 | NetworkClearText – попытка входа в систему по сети, при которой пароль был отправлен в виде открытого текста |
| Тип входа 9 | NewCredentials – срабатывает, когда пользователь использует команду RunAs с опцией /netonly для запуска программы |
| Тип входа 10 | RemoteInteractive – генерируется, когда компьютер доступен через средство удаленного доступа, такое как Remote Desktop Connection. |
| Тип входа 11 | CachedInteractive – Когда пользователь вошел в компьютер через консоль, используя кэшированные учетные данные, когда контроллер домена недоступен. |
Как просмотреть историю последнего входа в систему с помощью командной строки
Вы можете использовать командную строку для просмотра последней попытки входа в систему. Это удобный способ поиска попыток входа на основе пользователя без необходимости просматривать все события входа в Event Viewer
Чтобы просмотреть историю входа определенного пользователя с помощью Командной строки:
- Нажмите Win + R, чтобы открыть ‘Выполнить’.
- Введите cmd. Удерживая клавиши Ctrl + Shift, нажмите OK. Откроется Командная строка от имени администратора.
- В окне Командная строка введите следующую команду и нажмите Enter:
net user administrator | findstr /B /C:'Last logon' - В приведенной выше команде замените ‘administrator’ на имя пользователя, чтобы просмотреть его историю входа.
- В результате будет показано время и дата последнего входа в систему для указанного пользователя.
Просмотр неудачных и успешных попыток входа в систему в Windows
Если вы подозреваете, что кто-то вошел в систему на вашем компьютере, просмотрщик событий, скорее всего, поймает и запишет попытку. Чтобы это сработало, необходимо включить политику Logon Auditing в редакторе групповой политики. Вы также можете использовать Командную строку для просмотра истории входа определенного пользователя
Тем не менее, любой, кто знаком с Event Viewer, может легко очистить журналы. Таким образом, усиление безопасности компьютера с Windows – лучший способ предотвратить несанкционированный доступ. Для начала можно ограничить количество неудачных попыток входа в систему на компьютере с Windows
Комментировать